Si të Ndërtoni mbi Aktin 'Më Shëndeti Im, Të Dhënat E mia' të Uashingtonit

Në vitin 2023, Shteti i Uashingtonit miratoi një nga ligjet më të forta për privatësinë e të dhënave të konsumatorëve në vitet e fundit: akti “my health my data” (HB 1155). EFF përgëzon avokatët e të drejtave civile, privatësisë së të dhënave dhe drejtësisë riprodhuese të avokët që punuan për miratimin e këtij ligji.

Ky post sugjeron mënyra për ligjvënësit dhe avokatët në shtete të tjera për të ndërtuar mbi ligjin e Uashingtonit dhe për të hartuar një me mbrojtje edhe më të fortë. Ky post do të trajtojë veçmas fushën e ligjit (siç është kush është i mbrojtur); mbrojtjet e tij (siç është konsenti dhe minimizimi); dhe zbatimin e tij (siç është e drejta private e veprimit). Ndërsa ligji aplikohet vetëm për një kategori të të dhënave personale – informacionin tonë shëndetësor – struktura e tij mund të përdoret për të mbrojtur të gjitha llojet e të dhënave.

Fusha e Mbrojtjes

Autorët e çdo ligji për privatësinë e të dhënave të konsumatorëve duhet të bëjnë tre vendime për fushën: Çfarë lloj të dhënash është e mbrojtur? Kujt i përkasin të dhënat? Dhe kush është i rregulluar?

Ligji i Uashingtonit mbrojti “të dhënat e shëndetit të konsumatorit,” të definuara si informacion i lidhshëm me një konsumator që identifikon “statusin e tij fizik ose mendor të shëndetit.” Kjo përfshin të gjitha llojet e kushteve dhe trajtimeve, siç është kujdesi për konfirmimin gjinor dhe riprodhues. Ndërsa qëllimi përfundimtar i EFF është mbrojtja e të gjitha llojeve të informacionit personal, projektligjet që mbrojnë të paktën disa llojesh mund të jenë një fillim i shkëlqyeshëm.

Ligji i Uashingtonit mbron “përdoruesit,” të përcaktuar si të gjitha personat natyrorë që jetojnë në shtet ose që kanë pasur të dhëna të shëndetit të tyre të mbledhura aty. Është më e mira, si këtu, të mbrohen të gjithë njerëzit. Nëse një ligj për privatësinë e të dhënave mbron vetëm disa njerëz, kjo mund të nxisë një entitet të rregulluar të mbledhë edhe më shumë të dhëna, për të dalluar njerëzit e mbrojtur nga ata që nuk janë të mbrojtur. Në mënyrë të veçantë, përkufizimi i Uashingtonit të “përdoruesve” zbatohet vetëm në “një kontekst individual ose të familjes,” por jo në “një kontekst të punës”; kështu, uashingtonianët do të kenë nevojë për një ligj tjetër për privatësinë e shëndetit për t’i mbrojtur ata nga shtypja e tyreve drejtorëve.

Ligji i Uashingtonit përcakton një “entitet të rregulluar” si “çdo entitet ligjor” që: “ndërmerr biznes” në shtet ose synon banorët për produkte ose shërbime; dhe “përcakton qëllimin dhe mjetet” e përpunimit të të dhënave të shëndetit të konsumatorit. Kjo duket se përfshin shumë grupe jofitimprurëse, gjë që është e mirë, sepse këto grupe mund të përpunojnë në mënyrë të dëmshme shumë të dhëna personale.

Ligji përjashton qeverinë nga rregullimi, gjë që nuk është e pazakontë për projektligjet për privatësinë e të dhënave të fokusuar te aktorët joshqiptarë. Qeveria shtetërore dhe lokale me siguri do të duhet të rregullohen nga një ligj tjetër për privatësinë e të dhënave.

Fatkeqësisht, ligji i Uashingtonit përjashton gjithashtu “ofruesit e shërbimeve të kontraktuara kur përpunojnë të dhëna në emër të qeverisë.” Një tregtar të dhënash ose biznes tjetër i orientuar drejt vëzhgimit nuk duhet të jetë i lirë nga rregullimi vetëm sepse po punon për policinë.

Vullneti ose Minimizimi për Të Mbledhur ose Ndaj Share të të Dhënave të Shëndetit

Pjesa më e rëndësishme e ligjit të Uashingtonit kërkon ose vullnetin ose minimizimin për një entitet të rregulluar për të mbledhur ose ndarë të dhënat shëndetësore të një konsumatori.

Ligji ka një përcaktim të fortë të “konsentimit.” Ai duhet të jetë “një veprim i qartë afirmativ që tregon një marrëveshje të dhënë në mënyrë të lirë, të veçantë, të informuar, të zgjedhur, vullnetare dhe të paanshme.” Konsenti nuk mund të merret me “terma të gjërë të përdorimit” ose “dizajn mashtrues.”

Pa konsentim, një entitet i rregulluar nuk mund të grumbullojë ose ndajë të dhëna shëndetësore të konsumatorit përveçse si e nevojshme për të ofruar një produkt ose shërbim që konsumatori kërkoi. Këto rregulla shpesh quhen “minimizim i të dhënave.” Virtyti i tyre është se një konsumator nuk duhet të bëjë asgjë për të shijuar të drejtat e tij ligjore për privatësi; barra është mbi entitetin e rregulluar që të përpunojë më pak të dhëna.

Sa i përket “shitjes,” ligji i Uashingtonit kërkon konsentim të përmirësuar (të cilin ligji e quan “autorizim të vlefshëm”). Shitja është forma më e rrezikshme e ndarjes, sepse inkurajon bizneset të grumbullojnë sa më shumë të dhëna në shpresë për t’i shitur më vonë. Për këtë arsye, disa ligje ndalojnë plotësisht shitjen e të dhënave sensitive, si p.sh. ligji i privatësisë së informacionit biometrik të Illinois (BIPA).

Për kontekst, ekzistojnë katër mënyra për një projektligj ose ligj të konfigurojë konsentin dhe/ose minimizimin. Disa kërkojnë vetëm konsentim, si p.sh. dispozitat e BIPA për grumbullimin e të dhënave. Të tjerë kërkojnë vetëm minimizim, si p.sh. projektligji federal “trup i im, të dhënat e mia”. Disa të tjerë kërkojnë të dyja, si projekti i privatësisë së të dhënave të vendndodhjes në Massachusetts (ligji i privatësisë së të dhënave të vendndodhjes). Dhe disa kërkojnë ose një ose tjetrën. Në kohë dhe vende të ndryshme, EFF ka mbështetur të gjitha katër konfigurimet. “Ose/ose” është më e dobët, sepse lejon entitetet e rregulluara të zgjedhin nëse duan të minimizojnë ose të kërkojnë konsentim – një zgjedhje që do ta bëjnë bazuar në fitimet e tyre dhe jo në privatësinë tonë.

Dy Protektimet e Privatësisë së të Dhënave të Vendndodhjes

Tregtarët e të dhënave grumbullojnë informacionin tonë të vendndodhjes dhe e shesin atë kujtdo që do të paguajë, duke përfshirë reklamuesit, policinë, dhe kundërshtarët e tjerë. Legjislatorët janë duke u përpjekur të adresojnë këtë kërcënim.

Ligji i Uashingtonit e bën këtë në dy mënyra. Së pari, të dhënat e “shëndetit të konsumatorit” të mbrojtura nga rregulli i miratimit ose minimizimit janë përcaktuar të përfshijnë “informacion të saktë të vendndodhjes që mund të tregojë në mënyrë të arsyeshme përpjekjen e një konsumatori për të marrë ose marrë shërbime ose furnizime shëndetësore.” Në të njëjtën mënyrë, “vendndodhja e saktë” është përcaktuar si brenda 1,750’ të një personi.

Së dyti, ligji i Uashingtonit ndalon një “gjeo-fence” rreth një “shërbimi shëndetësor në person,” nëse “përdoret” për një nga tre qëllimet e ndaluara (për të ndjekur konsumatorët, për të mbledhur të dhënat e tyre, ose për t’u dërguar atyre mesazhe ose reklama). Një “gjeo-fence” është përcaktuar si teknologji që përdor GPS ose diçka të ngjashme “për të krijuar një kufi virtual” prej 2,000’ rreth perimetrit të një vendndodhjeje fizike.

Kjo është një fillim i mirë. Gjithashtu është shumë më mirë se rregullat më të dobëta që vlejnë vetëm për afërsi të menjëhershme të vendndodhjeve sensitive. Këto rregulla lejojnë kundërshtarët të përdorin të dhënat e vendndodhjes për të na ndjekur ndërsa lëvizim drejt vendndodhjeve të ndjeshme, të na vëzhgojnë duke hyrë në bllokun e vogël pa të dhëna rreth atyre vendndodhjeve, dhe të nxjerrin përfundime se çfarë mund të kemi bërë atje. Nga ana tjetër, rregullat e Uashingtonit zbatohen për zona të mëdha. Gjithashtu, rregulli i saj i miratimit ose minimizimit zbatohet për të gjitha vendndodhjet që mund të tregojnë për ndjekjen e shërbimeve shëndetësore (jo vetëm për institucionet shëndetësore). Dhe rregulli i saj i gjeo-fencës ndalon përdorimin e të dhënave të vendndodhjes për të ndjekur njerëzit.

Megjithatë, qasja më e mirë, si në disa projektligje të fundit, është thjesht të mbrojmë të gjitha të dhënat e vendndodhjes. Mbrojtja e vetëm një lloji të të dhënave të ndjeshme të vendndodhjes, siç janë vendet e adhurimit, do të lë jashtë të tjera, si gjykatat. Më thelbësisht, të gjitha vendndodhjet janë të ndjeshme, duke marrë parasysh rrezikun që të tjerët do të përdorin të dhënat tona të vendndodhjes për të përcaktuar ku – dhe me kë – jetojmë, punojmë dhe socializojmë.

Më shumë Mbrojtje të Privatësisë së të Dhënave

Të tjera masa mbrojtëse në ligjin e Uashingtonit meritojnë vëmendje nga ligjvënësit në shtete të tjera:

• Entitetet e rregulluara duhet të publikojnë një politikë privatësie që zbulon, për shembull, kategoritë e të dhënave të mbledhura dhe të ndara, dhe qëllimet e mbledhjes. Entitetet e rregulluara nuk duhet të mbledhin, përdorin, ose ndajnë kategori shtesë të të dhënave, ose t'i përpunojnë ato për qëllime të tjera, pa pëlqimin e tyre.
• Entitetet e rregulluara duhet t'u sigurojnë konsumatorëve të drejtat për akses dhe fshirje të të dhënave të tyre.
• Entitetet e rregulluara duhet të kufizojnë qasjen në të dhëna vetëm për ata punonjës që kanë nevojë për to, dhe të mbajnë sigurinë e të dhënave në standardet e industrisë

Zbatimi

Një ligj është vetëm aq i fortë sa dhëmbët e tij. Mënyra më e mirë për të siguruar zbatimin është të fuqizoni njerëzit të padisin entitetet e rregulluara që shkelin privatësinë e tyre; kjo shpesh quhet “drejtë private e veprimit.”

Ligji i Uashingtonit parashikon që shkelja e tij është “një veprim i padrejtë ose mashtrues” sipas ligjit të mbrojtjes së konsumatorit të veçantë të shtetit. Ky ligj, në radhë të parë, ndalon veprimet e padrejta ose mashtruese në ushtrimin e tregtisë ose biznesit. Pas një shkeljeje të ndalimit, ky ligj parashikon një akcion civil ndaj “çdo personi që është i dëmtuar në biznesin ose pronën e tij,” me mjetet e ndalimit, dëmet reale, trefishimin e dëmeve deri në 25,000 dollarë, dhe tarifat dhe shpenzimet ligjore. Ende duhet parë se si gjykatat e Uashingtonit do të zbatojnë këtë veprim civil të vjetër në ligjin e ri “mjekësia ime, të dhënat e mia”.

Ligjvënësit e Uashingtonit po tregojnë se privatësia është e rëndësishme për politikën publike, por një pretendim më i qartë do të ishte më i pastër: shkelja e të drejtës themelore njerëzore për privatësinë e të dhënave. Për fat të keq, ekziston një debate kombëtare në lidhje me nëse dëmtimi i privatësisë së të dhënave, vetë, duhet të jetë i mjaftueshëm për të shkuar në gjykatë, pa dëshmuar gjithashtu një dëmtim më konkret si vjedhja e identitetit. Modellet më të mira legjislative sigurojnë akses të plotë në gjykata në dy mënyra. Së pari, ato ofrojnë: “Një shkelje e këtij ligji në lidhje me të dhënat e një individi përbën një dëmtim për atë individ, dhe çdo person që pretendohet për shkelje të këtij ligji mund të sjellë një veprim civil.” Së dyti, ato ofrojnë një sasi bazë të dëmeve (shpesh të quajtura “dëmtime të likuiduara” ose “dëmtime ligjore”), sepse shpesh është e vështirë të provohet dëmtimi i vërtetë që rrjedh nga një dëmtim i privatësisë së të dhënave.

Së fundi, ligjet për privatësinë e të dhënave duhet të mbrojnë njerëzit nga “pagesa për privatësinë” në skema, ku një biznes ngarkon një çmim më të lartë ose ofron një produkt më të dobët nëse një konsumator ushtron të drejtat e tij ligjore për privatësinë e të dhënave. Këto skema do të çojnë në një shoqëri të “të pasurve” dhe “të varfërve” për privatësinë.

Ligji i Uashingtonit ka dy dispozita të dobishme. Së pari, një ent i rregulluar “nuk mund të diskriminojë në mënyrë të paligjshme kundër një konsumatori për ushtrimin e të drejtave të përfshira në këtë kapitull.” Së dyti, nuk mund të ketë shitje të të dhënave pa një “deklaratë” nga enti i rregulluar tek konsumatori që “ofrimi i mallrave ose shërbimeve nuk mund të kondicionohet në nënshkrimin e konsumatorit të autorizimit të vlefshëm.”

Disa projektligje për privatësinë përmbajnë gjuhë më specifike, për shembull rreth këtyre linjave: “një ent i rregulluar nuk mund të ndërmarrë veprime të dëmshme kundër një konsumatori (si refuzimi për të ofruar një mall ose shërbim, tarifimi i një çmimi më të lartë, ose ofrimi i një cilësie më të ulët) sepse konsumatori ushtronte të drejtat e tij për privatësinë e të dhënave, përveç rasteve kur të dhënat në fjalë janë thelbësore për mallin ose shërbimin që kërkuan dhe atëherë vetëm në masën që të dhënat janë thelbësore.”

Cfarë për Kongresin?

Ne ende kemi nevojë të madhe për një ligj gjithëpërfshirës federal për privatësinë e të dhënave të konsumatorit të ndërtuar mbi parimet “privatësia e parë”. Ndërkohë, shtetet po marrin drejtimin. Ajo shumë më të keqen gjë që Kongresi mund të bëjë tani është të parandalojë shtetet nga mbrojtja e privatësisë së të dhënave të banorëve të tyre. Avokatët dhe ligjvënësit nga e gjithë vendi, duke kërkuar të marrin këtë përgjegjësi, do të përfitojnë duke parë – dhe duke ndërtuar mbi – ligjin “të shëndetit tim të të dhënave” të Uashingtonit.